によるとサイバーセキュリティForescout社の新たな調査によると、昨年デンマークのエネルギー部門で発生したサイバー攻撃は、以前から広く疑われていたロシア関連のSandwormに関連していたようだ。ハッカーギャングに所属していない場合もある。
デンマーク・エネルギー省のサイバー攻撃
2023年5月、デンマークのエネルギー関連企業22社が、2つの波に分かれたサイバー侵入を受けた。第一波はZyxel ファイアウォールセキュリティの脆弱性(CVE-2023-28771)が発見され、その後、攻撃者は、まだ知られていない最初のアクセス経路を経由して、この脆弱性を利用した攻撃を展開した。ミライ・ボットネット変種だ。
攻撃の第一波は5月11日に発生し、第二波は5月22日から31日まで続いた。5月24日に検出された攻撃の1つでは、侵害されたシステムがIPアドレス(217.57.80 [...] 18と70.62.153 [...] 18で使用されていることが判明した。18と70.62.153 [...] )が使用されていた。174)が使用されていることが判明しました。このIPアドレスは、以前、解体されたCyclops Blinkボットネットのコマンド&コントロール(C2)サーバーとして使用されていました。
攻撃活動の分析
しかし、Forescoutが攻撃キャンペーンを注意深く分析した結果、2つの攻撃の波は互いに無関係であるだけでなく、国家に支援されたハッキング組織の仕業ではない可能性が高いことが判明しました。これら2組の攻撃の背後にいる特定のアクターはまだわかっていない。
同社は、「戦争の霧を取り除く」と題した報告書の中で、「デンマークへの攻撃の "第二波 "として説明されたものは、実際には(10日間の)時間枠の前に始まり、その後も続いた。サーバーを定期的に変更しただけである。"
サイバー攻撃の持続性
証拠によると、これらの攻撃は、Zyxelデバイスの他の既知の脆弱性(CVE-2020-9054およびCVE-2022-30525)、ならびにCVE-2023-28771を使用して、早ければ2月16日に開始された可能性があり、2023年10月まで継続し、ヨーロッパおよび米国のさまざまなエンティティを標的とした活動を行った。
これは、CVE-2023-27881の悪用がデンマークの重要インフラへの攻撃に限定されるものではなく、現在進行中であり、露出したデバイスを標的にしていることをさらに裏付けるものである。
元記事はチーフ・セキュリティー・オフィサーによるものである。
